PALVELUNTARJOAJAN SOPIMUS EAZYBREAK ASIAKKAIDEN HENKILÖTIETOJEN KÄSITTELYSTÄ
Versio 20.4.2018
1. Sopijapuolet
Eazybreak Oy, Y-tunnus 2304493-8, Kutomotie 16, 00380, Helsinki (”Toimittaja”)
ja
Eazybreak-palveluun rekisteröitynyt palveluntarjoaja, joka on hyväksynyt nämä ehdot (”Kauppias”)
2. Sopimusmuutoksen tarkoitus
Toimittaja käsittelee useiden asiakkaanaan olevien tietosuoja-asetuksen mukaisten rekisterinpitäjien henkilötietoja Eazybreak palvelussaan (”Palvelu”) ja on henkilötietojen käsittelijänä tehnyt rekisterinpitäjien kanssa tietosuoja-asetuksen edellyttämät sopimukset henkilötietojen käsittelystä. Kauppias on solminut sopimuksen Toimittajan kanssa (”Palvelusopimus”), jonka nojalla Kauppiaalla on Palvelussa näkyvyys Toimittajan asiakkaiden työntekijöiden henkilötietoihin, joita se käsittelee ja Kauppias toimii näin tältä osin toisena henkilötietojen käsittelijänä Toimittajan alaisuudessa. Tällä sopimuksella on tarkoitus sopia toisen henkilötietojen käsittelijän suorittamasta Toimittajan asiakkaan henkilötietojen käsittelystä siten, että käsittely täyttää tämän sopimuksen mukaisesti tietosuojaa koskevat velvoitteet, joihin Toimittaja on sitoutunut suhteessa asiakkaisiinsa.
Tämä sopimus muodostaa kiinteän osan Palvelusopimusta ja sen sopimuksen soveltuvat osat (kuten lainvalinta- ja riidanratkaisukohdat) ovat tämänkin sopimuksen osia. Mikäli tämän sopimuksen määräykset ovat ristiriidassa Palvelusopimuksen määräysten kanssa, sovelletaan ensisijaisesti tämän sopimuksen määräyksiä.
3. Käsittelyn kohde
Toimittajan asiakkaiden työntekijöiden henkilötietoja käsitellään ainoastaan Palvelusopimuksen toteuttamiseksi.
4. Käsittelyn kesto
Käsittelyä tehdään Palvelusopimuksen keston ajan ja siinä mahdollisesti sovitun tallennus- tai palvelun kolmannelle taholle siirtämisvelvoitteiden täyttämisen ajan, ellei Toimittaja vaadi käsittelyn aikaisempaa lopettamista.
5. Käsittelyn luonne ja tarkoitus
Tietoja käsitellään Palvelusopimuksen toteuttamiseksi ja Palvelun toteuttamiseksi.
6. Henkilötietojen tyyppi
Toimittajan asiakkaiden työntekijöihin liittyvät seuraavat tiedot
- Etunimi, Sukunimi
- Yksittäisen maksutapahtuman tiedot
7. Rekisteröityjen ryhmät
Toimittajan asiakkaiden työntekijät
8. Henkilötietojen käsittely
8.1. Sopijapuolet toteavat, että Kauppiaan Toimittajan puolesta suorittaman henkilötietojen käsittelyn osalta Toimittajan asiakkaat ovat Euroopan Unionin tietosuoja-asetuksen (2016/679) (”Tietosuoja-asetus”) mukaisia rekisterinpitäjiä ja Toimittaja on henkilötietojen käsittelijä, joka käsittelee henkilötietoja asiakkaidensa lukuun heidän kanssa solmimiensa sopimusten mukaisesti. Toimittaja informoi työntekijöitä henkilötietojen käsittelystä Palvelussa nähtävissä olevalla tietosuojaselosteessaan.
8.2. Osapuolet sitoutuvat noudattamaan henkilötietolakia, Tietosuoja-asetusta ja kaikkia voimassa olevia soveltuvia kansallisia ja kansainvälisiä tietosuojaan liittyviä säännöksiä sekä toimivaltaisten tietosuojaviranomaisten ohjeita ja päätöksiä (yhdessä jäljempänä “Tietosuojasääntely”).
8.3. Toimittaja vastaa Kauppiaalle antamiensa tietojen käytön sekä luovutuksen luvallisuudesta, ja siitä, että Kauppias on oikeutettu käsittelemään henkilötietoja tämän sopimuksen mukaisesti.
8.4.Kauppiaan on noudatettava kaikkia Toimittajan ja sen asiakkaiden henkilötietojen käsittelyyn liittyviin käytäntöihin ja ohjeistuksiin perustuvia velvoitteita. Toimittaja tiedottaa Kauppiasta näistä velvoitteista ja niiden mahdollisista muutoksista hyvissä ajoin.
8.5. Kauppiaan on noudatettava Toimittajan erikseen antamia ohjeita ja vaatimuksia tietoturvakäytännöistä.
8.6. Kauppias ei saa luovuttaa Toimittajan ja sen asiakkaan puolesta käsiteltäviä henkilötietoja kolmansille osapuolille tai käsitellä niitä muihin kuin Sopimuksen mukaisiin tarkoituksiin ilman Toimittajan etukäteistä kirjallista suostumusta. Kauppiaalla on oikeus käyttää alihankkijoita Palvelusopimuksessa kuvatussa henkilötietojen käsittelyssä vain Toimittajan etukäteisellä kirjallisella suostumuksella. Kauppias vastaa siitä, että alihankkijat noudattavat henkilötietojen käsittelyssä tämän sopimuksen määräyksiä.
8.7. Kauppiaalla on velvollisuus:
(i) käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa rajoiteta ilman laissa säädettyä perustetta;
(ii) käsitellä henkilötietoja ainoastaan Toimittajan kirjallisten ohjeiden mukaisesti eikä esimerkiksi Kauppias omia tarkoituksia kuten markkinointitarkoituksia varten. Kirjallisiksi ohjeiksi luetaan myös Palvelusopimuksessa määritellyt Kauppiaan toimittamia palveluita ja/tai tuotteita koskevat ehdot ja kuvaukset;
(iii) antaa viivytyksettä Toimittajalle pyynnöstä sellaiset tiedot ja avun, joita tarvitaan rekisteröityjen Tietosuojasääntelyn mukaisten oikeuksien toteuttamiseksi sekä rekisteröityjen ja valvontaviranomaisten Tietosuojasääntelyn mukaisiin pyyntöihin vastaamiseksi;
(iv) ilmoittaa Toimittajalle etukäteen maat, joissa se käsittelee henkilötietoja. Tämän sopimuksen solmimishetkellä henkilötietoja käsitellään Suomessa.
(v) olla siirtämättä henkilötietoja kolmansille osapuolille EU:n ja ETA-alueen ulkopuolelle tai kansainvälisille organisaatioille ilman Toimittajan etukäteistä kirjallista suostumusta;
(vi) kaupallisesti kohtuullisin ehdoin ja siinä määrin kuin mahdollista sisällyttää tämän Sopimuksen ehtoja vastaavat henkilötietojen käsittelyä koskevat ehdot kaikkiin sopimuksiin sellaisten alihankkijoiden kanssa, jotka käsittelevät henkilötietoja suoraan tai epäsuorasti Toimittajan ja sen asiakkaiden lukuun;
(vii) välittömästi ilmoittaa Toimittajalle kaikista rekisteröityjen, tietosuojaviranomaisten tai muiden viranomaisten esittämistä tiedusteluista ja kysymyksistä;
(viii) ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit Kauppiaan on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
(ix) ilmoittaa Toimittajalle, jos Kauppias katsoo, että Toimittajan tai sen asiakkaiden ohjeistukset tai käytännöt rikkovat Tietosuojasääntelyä;
(x) avustaa Toimittajaa ja sen asiakkaita Tietosuojasääntelyn mukaisten velvoitteiden kuten riskiarviointeihin sekä viranomaisten informointiin, että tietoturvaan liittyvien velvoitteiden täyttämisessä;
(xi) huolehtia siitä, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan vähintään tämän sopimuksen mukaista salassapitovelvollisuutta;
(xii) toteuttaa toimenpiteet sen varmistamiseksi, että jokainen Kauppiaan alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan Toimittajan ohjeiden mukaisesti, ellei lainsäädännössä toisin vaadita; ja
(xiii) Toimittajan valinnan mukaan poistamaan tai palauttamaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot Toimittajalle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.
8.8. Toimittajalla ja sen asiakkailla on oikeus joko itse tai kolmannen osapuolen avulla auditoida Kauppiaan tämän sopimuksen mukaiseen henkilötietojen käsittelyyn liittyviä toimintatapoja varmistuakseen siitä, että Kauppias on täyttänyt tämän sopimuksen ja Tietosuojasääntelyn mukaiset velvollisuutensa. Käytettävä kolmas osapuoli ei saa olla Kauppiaan kilpailija.
8.9. Toimittaja on velvollinen ilmoittamaan auditoinnin suorittamisesta vähintään kolmekymmentä (30) päivää etukäteen, ellei pakottavasta viranomaispäätöksestä muuta johdu.
8.10. Kauppiaan on mahdollistettava auditoinnin toteuttavalle taholle tarpeellinen pääsy Kauppiaan tai sen alihankkijan tiloihin ja järjestelmiin etukäteen yhdessä sovittuna aikana Kauppiaan tai sen alihankkijan normaalin toimistoajan puitteissa. Kauppiaan on vaadittaessa annettava auditoinnin toteuttavalle taholle kohtuudella vaadittavissa olevat tarpeelliset tiedot, dokumentit ja muu materiaali sekä muilla tavoin kohtuullisesti avustettava auditoinnin toteuttamisessa. Kauppias ja Toimittaja sopivat yhdessä noudatettavista toimintatavoista, joilla toteutetaan auditoinnin perusteella ehdotetut muutokset. Auditoinnin toteuttajien on sitouduttava olemaan käyttämättä saamiaan tietoja muuhun kuin tämän sopimuksen mukaisen auditoinnin tekemiseen sekä pitämään kaiken saamansa tiedon salassa. Toimittaja vastaa auditoinnin toteuttajien sitoumusten täyttämisestä.
8.11. Mikään tässä kohdassa ei rajoita Toimittajaa tai sen asiakkaita valvovien viranomaistahojen suorittamia auditointeja. Tällaiset auditoinnit suoritetaan viranomaisten ohjeiden ja käytäntöjen mukaisesti.
8.12. Toimittaja vastaa auditoinnin kustannuksista ja korvaa Kauppiaalle mahdollisesti aiheutuvat kustannukset. Mikäli auditoinnissa havaitaan olennaisia puutteita Kauppiaan tämän Sopimuksen mukaisten velvoitteiden suorittamisessa, Kauppias vastaa auditoinnin kaikista kustannuksista ja korvaa ne Toimittajalle.
8.13. Kauppiaan on ilmoitettava Toimittajalle kirjallisesti kaikista Toimittajan asiakkaiden työntekijöitä koskevista tietoturvaloukkauksista, Tietosuojasääntelyn rikkomuksista, joista Kauppias on saanut tiedon (“Tietoturvaloukkaus”) kirjallisesti välittömästi, kuitenkin viimeistään 24 tuntia sen jälkeen, kun Kauppias on tullut tietoiseksi Tietoturvaloukkauksesta.
Kauppiaan ilmoitukseen on sisällyttävä ainakin seuraavat seikat, sikäli kun Kauppias on niistä tietoinen:
(i) Tietoturvaloukkauksen luonne ja kuvaus Tietoturvaloukkauksen aiheuttaneesta tietoturvapoikkeamasta;
(ii) Mitä tietoja Tietoturvaloukkaus on koskenut;
(iii) Kun Tietoturvaloukkaus on kohdistunut informaatioon joka sisältää henkilötietoja, Kauppiaan on yksilöitävä ne rekisteröidyt, joiden henkilötietoihin loukkaus on kohdistunut sekä Tietoturvaloukkauksen kohteeksi joutuneiden rekisteröityjen yhteenlaskettu lukumäärä;
(iv) Tietoturvaloukkauksen tekijä sekä tahot jotka saivat pääsyn Tietoturvaloukkauksen kohteena olleisiin tietoihin;
(v) Tietoturvaloukkauksen seuraukset sekä mahdolliset rekisteröidyille aiheutuneet seuraukset ja haittavaikutukset;
(vi) Tekniset ja organisatoriset toimenpiteet, jotka Kauppias toteuttaa mahdollisten haittavaikutusten lieventämiseksi ja Tietoturvaloukkauksien estämiseksi tulevaisuudessa; ja
(vii) Kauppiaan on lisäksi annettava Toimittajalle ja sen asiakkaille näiden mahdollisesti pyytämät lisätiedot Tietoturvaloukkauksesta.
8.14. Todistaakseen toimintansa olevan Tietosuojasääntelyn mukaista Kauppiaan on dokumentoitava kaikki Tietoturvaloukkaukset ja niitä koskevat yksityiskohdat, Tietoturvaloukkausten seuraukset ja vaikutukset sekä toimenpiteet, joihin Toimittaja on ryhtynyt havaittuaan Tietoturvaloukkauksen.
8.15. Kauppias ei luovuta tietoja Tietoturvaloukkauksista kolmansille osapuolille tai julkisuuteen ilman Toimittajan etukäteistä kirjallista suostumusta, ellei lainsäädäntö muuta määrää. Kauppias sitoutuu avustamaan Toimittajaa ja sen asiakkaita Tietoturvaloukkausten ilmoittamisessa viranomaiselle ja rekisteröidyille Toimittajan ohjeistamalla tavalla. Mikäli tämän sopimuksen mukaiset Toimittajan käytännöt, ohjeistukset tai muut vaatimukset asettavat Kauppiaalle lisävelvoitteita, jotka eivät johdu suoraan Tietosuojasääntelystä, Kauppiaalla on oikeus saada Toimittajalta korvaus aiheutuvista lisäkustannuksistaan.
8.16. Sopijapuolet korvaavat toisilleen sopimusrikkomuksella tai tietosuojasääntelyn vastaisella menettelyllään aiheuttamansa välittömät vahingot. Sopijapuolella ei ole velvollisuutta korvata epäsuoria tai välillisiä vahinkoja. Vahingot, jotka Toimittaja joutuu korvaamaan asiakkailleen tai rekisteröidylle, sekä viranomaisen Toimittajan maksettavaksi Kauppiaan menettelyn seurauksena määräämät sanktiot ovat välittömiä korvattavia vahinkoja, joihin ei sovelleta Palvelusopimuksen vastuunrajoitusehtoja.